Bardzo podoba mi się myśl przewodnia artykułu Bloomberga o bezpieczeństwie informatycznym: ludzkości nie jest znane urządzenie zdolne powstrzymać ludzi przed zachowywaniem się jak idioci.

Pracownicy Departamentu Bezpieczeństwa Wewnętrznego USA w jednym z testów porozrzucali na parkingach instytucji rządowych i prywatnych firm współpracujących z nimi twarde dyski, płyty CD i pendrivy – oczywiście tak, by wyglądało, że zostały zgubione. Oszałamiające 60% pracowników podłączyło te nośniki do firmowego sprzętu. Odsetek wzrósł do 90% gdy nośniki miały logo instytucji/korporacji, w której pracowali testowani.

Inny przypadek: hakerzy po uzyskaniu informacji, że firma zajmującą dostarczaniem tokenów do logowania do systemów firmowych i bankowych prowadzi akcję rekrutacyjną rozesłali do pracowników tej firmy emaile z załącznikiem w postaci arkusza kalkulacyjnego o nazwie 2011 Recruitment Plan. System antyspamowy zadziałał – wszystkie emaile trafiły do Spamu. Znalazł się jednak jeden dzielny pracownik, który odzyskał email ze Spamu i otworzył załącznik. Koszt dystrybucji nowych tokenów to od 50 mln USD do 100 mln USD.

Kolejne zdarzenie: w lutym 2011 roku hakerzy włamali się do systemu firmy zajmującej się bezpieczeństwem informatycznym, HBGary. Okazało się, że dwaj najwyżsi rangą managerowie tej firmy używali tych samych haseł do poczty elektronicznej, serwisów społecznościowych i systemów korporacyjnych.

Niedawno pisałem o włamaniu do systemów grupy medialnej Gawker Media, której rezultatem było odszyfrowanie i upublicznienie około 190 000 haseł użytkowników. Najpopularniejszym hasłem było ‘123456’ – ponad 3000 użytkowników posługiwało się tym hasłem. Około 2000 użytkowników wybrało ‘password’ a ponad 1000 ‘12345678’. Wśród najpopularniejszych haseł znalazły się także ‘qwerty’, ‘abc123’, ‘111111’ i ‘0’.

Nie potrzeba zaawansowanej wiedzy w dziedzinie bezpieczeństwa informatycznego by wiedzieć, że:

  • nie powinno się uruchamiać nieznanych nośników danych
  • nie powinno się otwierać załączników w podejrzanych (w gruncie rzeczy: niezamawianych) emailach
  • powinno się mieć dwie, trzy kategorie haseł – osobne dla dziesiątek subskrypcji, poczty elektronicznej i systemów z danymi finansowymi
  • nie ma sensu używać 20 znakowych, skomplikowanych haseł ale zamiast imienia psa czy ‘123456’ dobrze jest mieć nieskomplikowaną, kilkuznakową kombinację liter i cyfr

Dlatego najlepszym zabezpieczeniem przed hakerami i oszustami jest szczypta zdrowego rozsądku. A jakie praktyczne wskazówki Wam przychodzą do głowy?